Windows Server 2008 +/- 6 年に関すること: 疑問に思ったのですが、ドメインのグループ ポリシーを作成する場合、通常はこれを 1 つのマスター ファイルに作成します。この Active Directory のサイズは通常、10 人未満のユーザー エンティティ向けで、これらのスペースの制御は主に GP を通じて行われます。たとえば、新しいコンピューターが追加されると、デスクトップは他のすべてのコンピューターのインターネット ルール、ファイルとディレクトリの共有、プロキシ ブロックの追加、デスクトップ アイコンの追加/削除などに似るように完全に変更/準備されます。
複数の個別の GP 組織単位を作成する本当の利点は何ですか? これを実践していますか (つまり、ルールごとに 1 つずつ、合計 19 個の個別のポリシーを作成します)? 複数作成するしきい値はどのくらいのサイズですか。
答え1
私見ですが、グループ ポリシーの設計の多くは常識に関するものです。ドメイン内のすべてのコンピューター/ユーザーにグローバルに適用される設定のグループがある場合、それらを保持するには 1 つの GPO のみが必要です。ある時点でそれらの設定のサブセットが全員に適用されなくなったり、グループごとに異なる方法で適用されたりする場合は、それらを独自の GPO に分割します。特定の機能を中心に展開される小さな設定のグループの場合、通常、ポリシーには、適用されるコンピューター/ユーザーではなく、機能の名前を付けるようにします。したがって、Firewall - No Inbound BlockingではFirewall - Standard BlockingなくFirewall - Dept Aと を使用しますFirewall - Dept B。
コンピュータが処理しなければならない各 GPO には処理「コスト」がかかりますが、今日のコンピュータでは、そのコストは非常に小さくなっています。適用したい設定ごとにポリシーを作成するのはやめてください。ただし、1 ではなく 5 を追加することについては心配しないでください。